Hacker rubano decine di profili Instagram chattando con Meta AI: per aggirare i controlli è bastata una domanda

Alcuni hacker sono riusciti a prendere il controllo degli account Instagram di diverse personalità note sfruttando una vulnerabilità del chatbot Meta AI. Com poche e semplici richieste rivolte all’assistente virtuale, sarebbero riusciti ad aggirare i sistemi di sicurezza e a ottenere l’accesso ai profili delle vittime.

È stato come entrare in una base segreta chiedendo semplicemente "permesso". Nei giorni scorsi un gruppo di hacker è riuscito a prendere il controllo di alcuni account Instagram noti rivolgendo poche e semplici domande all'assistente virtuale di Meta AI. A rivelarlo sono state decine di segnalazioni di ricercatori di sicurezza e utenti che negli ultimi giorni hanno denunciato una falla nel sistema di assistenza basato sull'intelligenza artificiale recentemente introdotto per i social Facebook e Instagram. Secondo le ricostruzioni diffuse online proprio in queste ore, i malintenzionati sarebbero riusciti ad aggirare le normali procedure di sicurezza di Meta sfruttando proprio il chatbot incaricato di aiutare gli utenti nel recupero e nella gestione degli account.

Nessun malware, nessun tentativo di phishing, nessun elaborato codice per scardinare le difese del sistema. Solo una breve conversazione con un'IA decisamente naïf. Come funzionava il trucco per introdursi negli account Instagram La procedura, descritta da diversi profili su Reddit, Telegram e su X, era in verità piuttosto semplice. L'aggressore iniziava una conversazione con il sistema di supporto di Meta fingendo di essere il proprietario dell'account Instagram da violare e chiedendo di collegare il profilo a un nuovo indirizzo mail, ovviamente controllato dallo stesso hacker. In alcuni casi veniva utilizzata anche una VPN per simulare la posizione geografica della vittima e non far scattare i controlli automatici della piattaforma. A quel punto, senza chiedere ulteriori spiegazioni, il chatbot inviava un codice di verifica all'indirizzo email indicato. Dopo aver comunicato il codice all'assistente virtuale, quest'ultimo avviava infine la procedura per reimpostare la password, consegnando di fatto le chiavi dell'account a un perfetto sconosciuto.